들어가며 — "믿을 수 없으면 검증하라"
비트코인의 핵심 철학 중 하나는 **"신뢰하지 말고 검증하라(Don't Trust, Verify)"**입니다.
그런데 하드웨어 지갑을 살 때 우리는 어떻게 하나요?
제조사가 "안전합니다"라고 하면 그냥 믿습니다.
레저는 "클로즈드 소스지만 EAL6+ 인증을 받았으니 안전합니다"라고 합니다. 트레저는 "완전 오픈소스라서 누구나 검증할 수 있으니 안전합니다"라고 합니다. 콜드카드도 "완전 오픈소스 + 에어갭이라서 안전합니다"라고 합니다.
누구 말이 맞을까요?
그리고 더 중요한 질문이 있습니다. "오픈소스는 정말 클로즈드 소스보다 안전한가요?"
직관적으로 오픈소스가 더 안전할 것 같습니다. 그런데 반론도 있습니다. "코드가 공개되면 공격자도 취약점을 찾을 수 있지 않나요?"
오늘은 이 질문에 정확하게 답합니다.
목차
- 오픈소스와 클로즈드 소스의 정확한 정의
- 보안에서 오픈소스의 근본 강점 — 리누스의 법칙
- "코드 공개 = 취약점 공개" 반론에 대한 답
- 결정론적 빌드 — 진짜 오픈소스 검증이란 무엇인가
- 클로즈드 소스의 주장 — EAL 인증이란 무엇인가
- 보안 칩(SE) 딜레마 — 오픈소스와 보안 칩이 공존하기 어려운 이유
- 레저 리커버 논란 — 클로즈드 소스의 진짜 위험
- 2026년 레저 데이터 유출 사건
- 제삼자 감사(Third-Party Audit)의 의미와 한계
- 주요 하드웨어 지갑 오픈소스 현황 비교 [2026]
- 필자의 생각
1. 오픈소스와 클로즈드 소스의 정확한 정의
먼저 용어를 정확히 정의합니다.
오픈소스(Open Source)
소프트웨어의 소스 코드(사람이 읽을 수 있는 형태의 코드)를 공개한 것입니다. 누구나 코드를 읽고, 검토하고, 수정 제안을 할 수 있습니다.
하드웨어 지갑에서 오픈소스는 두 가지 레이어로 나뉩니다.
펌웨어 오픈소스: 기기의 소프트웨어 코드 공개. 개인키를 어떻게 생성하고 서명이 어떻게 이루어지는지 코드 수준에서 확인 가능합니다.
하드웨어 오픈소스: 기기의 회로도, PCB 설계까지 공개. 훨씬 드문 케이스입니다.
클로즈드 소스(Closed Source) / 독점 소프트웨어
소스 코드를 공개하지 않는 것입니다. 제조사만 코드를 볼 수 있습니다. 외부에서는 코드를 검증할 수 없고 제조사의 주장을 신뢰해야 합니다.
하드웨어 지갑에서 완전한 오픈소스란?
사실 완전한 오픈소스 하드웨어 지갑은 드뭅니다. 이유는 6번 섹션에서 설명할 보안 칩(Secure Element) 문제 때문입니다.
트레저는 전 제품군에 걸쳐 경쟁력 있는 가격으로 완전히 감사 가능한 오픈소스 펌웨어를 제공하는 유일한 하드웨어 지갑 제조사입니다. Upbit
2. 보안에서 오픈소스의 근본 강점 — 리누스의 법칙
오픈소스 보안의 근거는 **리누스의 법칙(Linus's Law)**입니다.
"충분히 많은 눈이 있으면 모든 버그는 얕아진다."
리눅스 운영체제를 만든 리누스 토르발스의 이름을 딴 이 원칙은 간단합니다. 더 많은 사람이 코드를 볼수록 버그와 취약점을 찾을 가능성이 높아진다는 것입니다.
하드웨어 지갑에 적용하면:
클로즈드 소스 펌웨어는 제조사 내부 엔지니어만 코드를 봅니다. 수십 명이 검토합니다.
오픈소스 펌웨어는 전 세계의 보안 연구자, 개발자, 암호학자들이 코드를 봅니다. 수천 명이 잠재적으로 검토합니다.
비트코인 커뮤니티에는 코드를 검토할 능력과 의지를 가진 사람들이 많습니다. 오픈소스 하드웨어 지갑은 이 커뮤니티의 집단 지성을 보안에 활용합니다.
실제 사례: 트레저의 취약점 발견과 수정
트레저의 오픈소스 코드에서 외부 보안 연구자들이 취약점을 발견한 사례가 여러 차례 있었습니다. 이 취약점들은 공개적으로 보고되고(책임감 있는 공개, Responsible Disclosure) 패치가 배포됐습니다. 클로즈드 소스였다면 이 취약점들이 내부에서 발견되지 못하거나 발견됐어도 사용자에게 알려지지 않았을 수 있습니다.
3. "코드 공개 = 취약점 공개" 반론에 대한 답
클로즈드 소스를 옹호하는 주요 논리입니다. 충분히 이해할 수 있는 주장입니다.
"코드를 공개하면 해커도 코드를 볼 수 있다. 해커가 취약점을 찾아서 공격하면 어떡하나?"
이 논리에는 두 가지 반박이 있습니다.
반박 1: 모호성을 통한 보안(Security Through Obscurity)은 믿을 수 없다
코드를 숨기는 것 자체를 보안의 근거로 삼는 것을 "모호성을 통한 보안"이라고 합니다. 이것은 보안 업계에서 오래전부터 신뢰할 수 없는 방식으로 평가받아 왔습니다.
이유가 있습니다. 코드는 다른 방법으로 분석될 수 있습니다. 리버스 엔지니어링, 사이드채널 공격, 펌웨어 추출 등의 방법으로 클로즈드 소스 코드도 분석될 수 있습니다. 숨겨진 코드가 완벽히 안전하다는 보장이 없습니다.
반박 2: 선한 보안 연구자가 악한 해커보다 많다
코드를 공개하면 해커도 보지만 선한 보안 연구자도 봅니다. 버그 바운티(Bug Bounty) 프로그램처럼 취약점을 발견한 선한 연구자에게 보상을 주는 시스템이 작동합니다. 대부분의 경우 악의적인 해커보다 선한 보안 연구자의 수가 훨씬 많습니다.
결론
코드를 숨기는 것이 해커를 막는 것이 아니라 검증자를 막는 것입니다. 진짜 보안은 코드가 공개되어도 안전한 구조를 만드는 것에서 나옵니다.
4. 결정론적 빌드 — 진짜 오픈소스 검증이란 무엇인가
오픈소스 관련해서 많은 분들이 모르는 중요한 개념입니다.
문제 제기
코드가 공개되어 있어도 실제 기기에 올라간 펌웨어가 공개된 코드와 같다는 보장이 없습니다. 제조사가 공개 코드와 다른 코드를 기기에 설치할 수도 있습니다.
이것이 "소스는 오픈이지만 실제 빌드는 다를 수 있다" 문제입니다.
결정론적 빌드(Deterministic Build)가 해결책
결정론적 빌드란 동일한 소스 코드에서 항상 동일한 컴파일 결과물이 나오는 빌드 방식입니다.
이것이 왜 중요한가? 누구나 공개 소스 코드를 직접 컴파일해서 제조사가 배포하는 펌웨어와 동일한지 비교할 수 있습니다. 해시값이 일치하면 제조사가 공개 코드와 다른 코드를 기기에 설치하지 않았음을 수학적으로 증명할 수 있습니다.
트레저의 경우
트레저는 결정론적 빌드를 지원합니다. 사용자가 직접 소스 코드를 컴파일하고 공식 펌웨어와 해시를 비교할 수 있습니다.
레저의 경우
레저의 펌웨어는 클로즈드 소스입니다. 결정론적 빌드 검증이 불가능합니다. 레저가 기기에 어떤 코드를 올렸는지 외부에서 검증할 방법이 없습니다.
이것이 14편에서 레저 리커버 논란이 특히 심각했던 이유입니다. "펌웨어 업데이트로 시드 구문이 기기 밖으로 나갈 수 있다"는 의혹을 외부에서 검증할 수 없었습니다.
5. 클로즈드 소스의 주장 — EAL 인증이란 무엇인가
클로즈드 소스 하드웨어 지갑이 보안을 주장하는 근거가 EAL 인증입니다.
EAL(Evaluation Assurance Level)이란?
Common Criteria(국제 공통 평가 기준)에 따라 IT 보안 제품의 보안 수준을 평가하는 등급입니다. EAL1~EAL7까지 있으며 숫자가 높을수록 더 엄격한 검증을 받은 것입니다.
레저는 EAL6+ 인증을 받은 보안 칩(Secure Element)을 사용합니다. 이것이 높은 수준의 하드웨어 보안을 의미합니다.
EAL 인증의 한계
그런데 EAL 인증에 대해 몇 가지 중요한 사항을 이해해야 합니다.
첫째, EAL 인증은 칩 자체에 대한 평가입니다. 칩 위에서 실행되는 펌웨어가 올바르게 구현됐는지는 별개의 문제입니다.
둘째, EAL 인증은 특정 시점의 스냅숏입니다. 이후 펌웨어가 업데이트되면 재검증이 필요합니다.
셋째, EAL 인증 기관도 소스 코드를 볼 수 있지만 대중은 볼 수 없습니다. 인증 기관을 신뢰하는 것으로 신뢰 사슬이 이동할 뿐입니다.
EAL 레벨과 칩 개수는 단순 합산이 아닙니다. 더 중요한 것은 전체 기기 경계, 구현 품질 및 검증 가능성입니다. Walletrecoveryservice
6. 보안 칩(SE) 딜레마 — 오픈소스와 보안 칩이 공존하기 어려운 이유
이것이 기존 설명들이 완전히 빠뜨리는 중요한 기술적 딜레마입니다.
보안 칩(Secure Element, SE)이란?
개인키를 보관하고 서명을 수행하는 전용 보안 칩입니다. 물리적 공격(전압 글리칭, 레이저 공격, 사이드채널 분석 등)에 강하게 설계됩니다. 레저는 STMicroelectronics의 SE 칩을 사용합니다.
딜레마의 본질
보안 칩 제조사들은 칩의 설계 도면과 세부 구현 사항을 NDA(비밀유지계약)로 보호합니다. 보안 칩을 사용하려면 제조사와 NDA를 맺어야 합니다. NDA를 맺으면 칩 관련 세부 정보를 공개할 수 없습니다.
즉 보안 칩을 사용하면서 완전한 오픈소스를 유지하는 것이 기술적으로 어렵습니다.
각 제조사의 선택
레저: 보안 칩(EAL6+) 사용 → 클로즈드 소스 불가피
→ 선택: 높은 하드웨어 보안 + 낮은 코드 투명성
트레저: 보안 칩 대신 일반 MCU(마이크로컨트롤러) 사용 → 완전 오픈소스 가능
→ 선택: 높은 코드 투명성 + 물리적 공격에 상대적으로 취약
콜드카드: ATECC608 A 보안 칩 사용하되 인터페이스 코드는 오픈소스 유지 + 에어갭으로 보완
→ 선택: 보안 칩 + 오픈소스 최대화 + 에어갭으로 물리적 공격 보완
이 딜레마에 정답은 없습니다. 어느 것을 선택하느냐는 어떤 위협 모델을 더 중요하게 보느냐의 문제입니다. 원격 해킹을 더 걱정한다면 오픈소스(트레저). 물리적 공격을 더 걱정한다면 보안 칩(레저).
7. 레저 리커버 논란 — 클로즈드 소스의 진짜 위험
14편에서 이미 다뤘지만 이 논란이 클로즈드 소스의 근본 위험을 보여주는 완벽한 사례이므로 다시 정리합니다.
2023년 5월 레저 리커버 발표
레저는 시드 구문을 세 조각으로 나눠 서버에 보관해 주는 복구 서비스(레저 리커버)를 발표했습니다.
커뮤니티가 충격받은 이유
레저는 오랫동안 "시드 구문은 절대 기기 밖으로 나가지 않는다"라고 주장해 왔습니다. 그런데 이제 펌웨어 업데이트를 통해 시드 구문을 외부 서버로 보낼 수 있다는 것이 공식 확인됐습니다.
클로즈드 소스의 문제가 여기서 나옵니다
레저가 시드 구문을 항상 기기 밖으로 내보낼 수 있었을까요? 아니면 리커버 기능이 새로 추가됐을까요?
클로즈드 소스이기 때문에 아무도 알 수 없습니다. 펌웨어 코드를 볼 수 없으니까요.
레저는 "선택적 구독 서비스이며 사용자 동의 없이는 작동하지 않는다"라고 했습니다. 그런데 이것을 검증할 방법이 없습니다. 코드를 볼 수 없으니까요.
이것이 클로즈드 소스의 핵심 위험입니다. 신뢰를 강요합니다. "우리를 믿어달라"는 요청에 "믿는다" 또는 "안 믿는다" 외에 선택지가 없습니다. 검증이 불가능합니다.
8. 2026년 레저 데이터 유출 사건
최신 사건으로 클로즈드 소스 구조의 위험을 다시 확인했습니다.
레저는 2026년 1월 또 다른 데이터 유출 사고를 겪어 고객 정보가 유출되었으나 금융 데이터나 시드 구문(seed phrase)은 침해되지 않았습니다. 이 사건은 고객 데이터 관리와 관련된 지속적인 위험을 부각합니다. M-i
이것은 파트너사 Global-e를 통해 발생한 공급망 유출 사건입니다. 레저 기기 자체의 보안은 침해되지 않았습니다.
그러나 이 사건이 보여주는 것이 있습니다. 클로즈드 소스 회사들은 중앙화된 데이터베이스에 고객 정보를 보관합니다. 이 데이터베이스는 해킹 대상이 됩니다. 유출된 고객 정보는 피싱 공격에 활용됩니다.
평판 손상은 손실 자체보다는 레저가 몇 달 전에 논란이 된 "리커버(Recover)" 시드 샤딩 서비스를 출시했던 시점과 맞물려 오픈 소스의 중요성이 다시 부각된 데서 비롯되었습니다. Businesspost
반면 트레저는 2025년 말 이후 유사한 유출 사고를 보고하지 않아 오픈 소스 하드웨어와 펌웨어를 통해 더 안전한 옵션으로 자리매김하고 있습니다. M-i
9. 제3자 감사(Third-Party Audit)의 의미와 한계
클로즈드 소스 지갑이 보안을 주장하는 또 다른 근거가 제삼자 감사입니다.
제삼자 감사란?
외부 보안 전문 업체가 코드와 시스템을 검토해 취약점을 찾아내는 과정입니다. 레저는 정기적으로 외부 보안 감사를 받는다고 밝혔습니다.
제삼자 감사의 가치
전문 보안 업체가 체계적으로 코드를 검토합니다. 발견된 취약점을 패치할 기회를 얻습니다. 어느 정도의 신뢰 근거를 제공합니다.
제삼자 감사의 한계
스냅숏 문제: 감사는 특정 시점의 코드를 검토합니다. 이후 펌웨어가 업데이트되면 새로운 감사가 필요합니다. 모든 업데이트마다 감사가 이루어지지는 않습니다.
신뢰 위임: 감사 결과를 공개하지 않으면 일반 사용자는 "감사를 받았다"는 주장을 다시 신뢰해야 합니다. 신뢰의 문제가 제조사에서 감사 업체로 이동할 뿐입니다.
범위 한계: 감사가 코드 전체를 커버하지 못할 수 있습니다. 특정 모듈만 감사를 받기도 합니다.
오픈소스 + 커뮤니티 감사 vs 클로즈드 소스 + 제삼자 감사
오픈소스 지갑은 지속적으로 수천 명의 눈이 코드를 봅니다. 클로즈드 소스 지갑의 제삼자 감사는 정해진 기간 동안 소수의 전문가가 봅니다. 규모와 지속성 측면에서 오픈소스가 유리합니다.
10. 주요 하드웨어 지갑 오픈소스 현황 비교 [2026]
| 트레저 Safe 5/7 | 완전 오픈소스 | 완전 오픈소스 | 없음(MCU) | ✓ 지원 | 가장 투명한 오픈소스 |
| 콜드카드 Q/Mk4 | 오픈소스 | 오픈소스 | 부분(인터페이스만) | ✓ 지원 | 에어갭으로 보완 |
| 레저 나노X/플렉스 | 클로즈드 소스 | 클로즈드 소스 | ✓ EAL6+ | ✗ 불가 | 리커버 논란 |
| 비트박스02 | 오픈소스 | 오픈소스 | 없음(MCU) | ✓ 지원 | 스위스 제조 |
| Keystone 3 Pro | 오픈소스 | — | 부분 | ✓ 지원 | QR 에어갭 |
레저는 펌웨어를 비공개로 유지하고 STMicroelectronics에서 제조한 NDA로 보호되는 보안 요소를 사용합니다. Businesspost
11. 필자의 생각
💡 오픈소스는 보안의 필요조건이지 충분조건이 아니다
오픈소스 코드가 있어도 실제로 코드를 검토하는 사람이 없다면 의미가 없습니다. 반대로 많은 사람이 코드를 검토해야 리누스의 법칙이 작동합니다. 비트코인 하드웨어 지갑에서 트레저와 콜드카드는 활발한 커뮤니티의 검토를 받고 있습니다. 이것이 오픈소스의 실질적 가치입니다. 그러나 오픈소스라도 코드가 올바르게 구현됐는지, 결정론적 빌드가 지원되는지까지 확인해야 진정한 검증이 됩니다.
💡 레저 리커버 논란이 비트코인 사용자에게 남긴 교훈
레저 리커버가 발표됐을 때 많은 분들이 "레저가 처음부터 시드 구문을 가져갈 수 있었던 것 아닌가?"라고 물었습니다. 클로즈드 소스이기 때문에 이 질문에 답할 수 없습니다. 레저는 "할 수 없었다"라고 하지만 검증이 불가능합니다. 이것이 핵심입니다. 검증 불가능한 주장은 신뢰의 영역이지 보안의 영역이 아닙니다. 비트코인 철학인 "신뢰하지 말고 검증하라"를 하드웨어 지갑 선택에서도 적용해야 합니다.
💡 보안 칩 딜레마는 아직 완전히 해결되지 않았다
물리적 공격에는 보안 칩이 유리하고 소프트웨어 투명성에는 오픈소스가 유리합니다. 완벽한 선택은 없습니다. 콜드카드가 에어갭으로 이 딜레마를 상당 부분 해소한 것은 흥미롭습니다. 에어갭이 있으면 클로즈드 소스 보안 칩의 소프트웨어 취약점이 원격으로 악용되기 어렵기 때문입니다. 앞으로 이 딜레마를 더 우아하게 해결하는 기술이 나올 것입니다. PSBT, 타입스크립트 기반 검증 가능한 소프트웨어 스택 같은 방향으로.
자주 묻는 질문 (FAQ)
Q1. 오픈소스 지갑이 더 안전하다면 왜 레저가 시장 점유율 1위인가요?
보안보다 편의성을 우선시하는 일반 사용자가 많기 때문입니다. 레저는 블루투스 연결, 5,500개 코인 지원, 레저 라이브 앱의 편리함으로 광범위한 사용자를 확보했습니다. 보안에 특화된 비트코인 파워 유저들 사이에서는 트레저와 콜드카드가 더 선호됩니다.
Q2. 오픈소스 지갑은 아무나 코드를 수정해서 위험한 버전을 만들 수 있지 않나요?
소스 코드 오픈소스는 "누구나 변경할 수 있다"는 의미가 아닙니다. 제조사의 공식 서버에 올라간 코드는 제조사만 배포할 수 있습니다. 결정론적 빌드를 통해 공식 배포된 펌웨어가 공개 코드에서 나온 것인지 검증할 수 있습니다. 비공식적으로 변경된 코드는 공식 배포 채널을 통해 유포될 수 없습니다.
Q3. EAL6+ 인증은 의미 없는 건가요?
아닙니다. EAL6+는 보안 칩의 하드웨어 수준에서 높은 신뢰성을 의미합니다. 물리적 공격, 사이드채널 분석 등에 대한 강력한 방어를 나타냅니다. 다만 이것이 펌웨어의 투명성을 보장하지는 않습니다. EAL 인증과 오픈소스 투명성은 서로 다른 차원의 보안입니다.
Q4. 결정론적 빌드를 직접 검증하려면 어떻게 하나요?
기술적 지식이 필요합니다. 트레저의 경우 GitHub에 공개된 소스 코드를 Docker 환경에서 컴파일하면 공식 배포 펌웨어와 동일한 해시값을 얻을 수 있습니다. 공식 문서(trezor.io/learn)에 절차가 설명되어 있습니다. 직접 검증하지 않더라도 다른 사람들이 검증한 결과를 커뮤니티에서 확인할 수 있습니다.
Q5. 지금 레저를 쓰고 있는데 바꿔야 하나요?
소액 보유자라면 큰 문제없습니다. 레저 기기 자체의 직접 해킹 사례는 없습니다. 다만 레저 리커버 서비스에 가입하지 마세요. 대액 장기 보관이라면 트레저 Safe 5 또는 콜드카드로 전환을 고려하는 것이 현명합니다.
결론 — 검증 가능한 보안이 진짜 보안이다
오픈소스 vs 클로즈드 소스 논쟁을 한 문장으로 정리합니다.
"클로즈드 소스는 신뢰를 요구하고 오픈소스는 검증을 허용한다. 비트코인 철학은 신뢰가 아닌 검증에 있다."
완벽한 하드웨어 지갑은 없습니다. 보안 칩의 물리적 보안과 오픈소스의 소프트웨어 투명성 사이의 트레이드오프가 존재합니다.
그러나 대형 자산을 장기 보관하는 비트코인 투자자에게 검증 가능성은 중요한 기준입니다. "우리를 믿어달라"는 회사의 주장보다 "직접 확인하세요"라는 코드가 더 강한 보안 근거입니다.
다음 23편에서는 하드웨어 지갑 끝판왕인 콜드카드 Q의 실제 세팅법을 단계별로 설명합니다.
※ 이 글은 정보 제공을 목적으로 작성된 것이며, 특정 자산에 대한 투자를 권유하지 않습니다. 투자에 대한 모든 결정과 책임은 투자자 본인에게 있습니다.
'실전 지갑 관리 및 보안 심화' 카테고리의 다른 글
| 오픈소스 비트코인 전용 지갑(예: Sparrow Wallet) 활용법과 연동의 장점 [2026] (moneyfacto 비트코인기초·암호화폐정보 25편) (0) | 2026.05.29 |
|---|---|
| 하드웨어 지갑 끝판왕: 콜드카드(Coldcard) 특징과 초기 세팅법 [2026] (moneyfacto 비트코인기초·암호화폐정보 23편) (0) | 2026.05.27 |
